Interconnettersi con la Cina tramite l'hub sicuro e la rete WAN virtuale di Azure
Quando si esaminano le industrie automobilistiche, manifatturiere, logistiche o altri istituti come ambasciate, spesso c'è la domanda su come migliorare l'interconnessione con la Cina. Questi miglioramenti sono principalmente rilevanti per l'uso di Servizi cloud come Microsoft 365, Servizi globali di Azure o rami di interconnessione all'interno della Cina con un backbone del cliente.
Nella maggior parte dei casi, i clienti riscontrano difficoltà relative a latenze elevate, larghezza di banda ridotta, connessione instabile e costi elevati per la connessione dalla Cina verso l'esterno, ad esempio l'Europa o gli Stati Uniti.
Uno dei motivi di queste difficoltà è dato dal "Grande Firewall cinese", che protegge la parte cinese di Internet e filtra il traffico verso la Cina. Quasi tutto il traffico in esecuzione da Repubblica popolare cinese all'esterno della Cina, ad eccezione delle zone amministrative speciali come Hong Kong e Macao, passa il Grande Firewall. Il traffico che attraversa Hong Kong e Macao non colpisce il Grande Firewall in piena forza, viene gestito da un subset del Great Firewall.
Usando la rete WAN virtuale, un cliente può stabilire una connessione più efficiente e stabile ai servizi Microsoft Cloud e a una connessione alla rete aziendale senza infrangere la legge cinese sulla cybersecurity.
Requisiti e flusso di lavoro
Per agire in conformità alla legge cinese sulla cybersecurity, è necessario soddisfare una serie di condizioni.
Prima di tutto, è necessario collaborare con una rete e un ISP (Internet Service Provider, provider di servizi Internet) che possiede una licenza ICP (Internet Content Provider, provider di contenuti Internet) per la Cina. Nella maggior parte dei casi, ci si affiderà a uno dei provider seguenti:
- China Telecom Global Ltd.
- China Mobile Ltd.
- China Unicom Ltd.
- PCCW Global Ltd.
- Hong Kong Telecom Ltd.
A seconda del provider e delle proprie esigenze, è ora necessario acquistare uno dei seguenti servizi di connettività di rete per interconnettere i vari rami all'interno della Cina.
- Rete MPLS/IPVPN
- Rete WAN definita da software (SDWAN)
- Accesso a Internet dedicato
Successivamente, è necessario concordare con il provider una soluzione per ottenere un breakout alla rete globale Microsoft e alla relativa rete perimetrale a Hong Kong, non a Pechino o a Shanghai. In questo caso, Hong Kong è molto importante in considerazione della sua connessione fisica e della posizione rispetto alla Cina.
Anche se la maggior parte dei clienti pensa di usare Singapore per l'interconnessione è il caso migliore perché sembra più vicina alla Cina quando si guarda sulla mappa, questo non è vero. Seguendo le mappe delle fibre di rete, si noterà che quasi tutte le connessioni di rete passano attraverso Pechino, Shanghai e Hong Kong. Hong Kong è quindi una scelta ottimale come base per l'interconnessione con la Cina.
A seconda del provider, è possibile ottenere diverse offerte di servizi. La tabella seguente illustra alcuni esempi di provider e il servizio offerto, in base alle informazioni disponibili al momento della scrittura di questo articolo.
| Service | Esempi di provider |
|---|---|
| Rete MPLS/IPVPN | PCCW, China Telecom Global |
| SDWAN | PCCW, China Telecom Global |
| Accesso a Internet dedicato | PCCW, Hong Kong Telecom, China Mobil |
Con il provider è possibile concordare una delle due soluzioni seguenti da usare per raggiungere il backbone globale Microsoft:
Ottenere una connessione Microsoft Azure ExpressRoute terminata a Hong Kong. In questo caso, verrebbe usata una rete MPLS/IPVPN. Attualmente, l'unico provider di licenze ICP con ExpressRoute per Hong Kong è China Telecom Global, che può comunque comunicare anche con gli altri provider sfruttando provider Cloud Exchange, ad esempio Megaport o InterCloud. Per altre informazioni, vedere Provider di connettività ExpressRoute.
Usare un accesso Internet dedicato direttamente presso uno dei seguenti Internet Exchange Point o tramite un'interconnessione di rete privata.
L'elenco seguente include gli Internet Exchange possibili a Hong Kong:
- AMS-IX Hong Kong
- BBIX Hong Kong
- Equinix Hong Kong
- HKIX
Quando si usa questa connessione, l'hop BGP successivo per i servizi Microsoft deve essere Microsoft Autonomous System Number (AS#) 8075. Se si usa una soluzione con singolo sito o SDWAN, questa sarebbe la connessione da preferire.
Con le attuali modifiche relative alle interconnessioni tra la Cina e la SAR di Hong Kong, la maggior parte di questi provider di rete costruisce un ponte MPLS tra la Cina e la SAR di Hong Kong.
È possibile notare che le connessioni VPN da sito a sito all'interno della Cina sono consentite e sono per lo più stabili. Lo stesso vale per le connessioni da sito a sito tra rami nel resto del mondo. I provider ora creano un'aggregazione VPN/SDWAN su entrambi i lati e il bridge tramite MPLS tra di essi.
In entrambi i casi, ti consigliamo comunque di avere un secondo e normale breakout internet in Cina. Si tratta di suddividere il traffico tra il traffico aziendale verso i servizi cloud come Microsoft 365 e Azure e per legge il traffico Internet regolamentato.
Un'architettura di rete conforme ai requisiti delle autorità cinesi potrebbe avere un aspetto simile al seguente:
In questo esempio, avendo un'interconnessione con la rete globale Microsoft a Hong Kong, è ora possibile iniziare a sfruttare l'architettura di transito globale della rete WAN virtuale di Azure e servizi aggiuntivi, come l'hub sicuro della rete WAN virtuale di Azure, per utilizzare i servizi e interconnettersi con i rami e il data center al di fuori della Cina.
Comunicazione da hub a hub
In questa sezione si userà la comunicazione da hub a hub della rete WAN virtuale per l'interconnessione. In questo scenario si crea una nuova risorsa Hub di rete WAN virtuale per connettersi a un hub di rete WAN virtuale a Hong Kong, ad altre aree preferite, a un'area in cui si dispone già di risorse di Azure o a una zona a cui si vuole connettersi.
Un'architettura di esempio potrebbe avere un aspetto simile al seguente:
In questo esempio, i rami della Cina si connettono ad Azure Cloud China e tra di loro tramite connessioni VPN o MPLS. I rami che devono essere connessi ai servizi globali usano servizi basati su Internet o MPLS oppure collegati direttamente a Hong Kong. Se si vuole usare ExpressRoute in Hong Kong e nell'altra area, è necessario configurare Copertura globale di ExpressRoute per interconnettere entrambi i circuiti ExpressRoute.
Copertura globale di ExpressRoute non è disponibile in alcune aree. Se è necessario interconnettersi con il Brasile o l'India, ad esempio, occorre sfruttare provider Cloud Exchange per fornire i servizi di routing.
Nella figura seguente sono illustrati entrambi gli esempi per questo scenario.
Protezione del breakout Internet per Microsoft 365
Un'altra considerazione è la sicurezza di rete e la registrazione per il punto di ingresso tra la Cina e il rete WAN virtuale componente backbone stabilito e il backbone del cliente. Nella maggior parte dei casi, è necessario stabilire il breakout a Internet a Hong Kong per raggiungere direttamente la rete perimetrale Microsoft e, con questa, i server Frontdoor di Azure usati per i servizi Microsoft 365.
Per entrambi gli scenari con la rete WAN virtuale, è possibile usare l'hub protetto della rete WAN virtuale di Azure. Usando Gestione firewall di Azure è possibile modificare un normale hub di rete WAN virtuale in un hub protetto e quindi distribuire e gestire un firewall di Azure all'interno di tale hub.
La figura seguente illustra un esempio di questo scenario:
Architettura e flussi di traffico
A seconda della scelta effettuata per la connessione a Hong Kong, l'architettura complessiva può variare leggermente. Questa sezione mostra tre architetture disponibili con una combinazione diversa di VPN o SDWAN e/o ExpressRoute.
Tutte queste opzioni usano Azure rete WAN virtuale hub protetto per la connettività diretta di Microsoft 365 a Hong Kong. Queste architetture supportano anche i requisiti di conformità per Microsoft 365 Multi-Geo e mantengono il traffico vicino alla posizione successiva di Frontdoor di Azure. Si ottiene così anche un miglioramento per l'uso di Microsoft 365 al di fuori della Cina.
Quando si usa una rete WAN virtuale di Azure con connessioni Internet, ogni connessione può trarre vantaggio da servizi aggiuntivi come il Servizio di peering di Microsoft Azure (MAPS), appositamente creato per ottimizzare il traffico verso la rete globale Microsoft da provider di servizi Internet di terze parti.
Opzione 1: SDWAN o VPN
Questa sezione illustra un'architettura in cui vengono usate connessioni SDWAN o VPN verso Hong Kong e altri rami. L'opzione mostra il flusso del traffico quando si usa una connessione Internet pura in entrambi i siti del backbone WAN virtuale. In questo caso, la connessione viene portata a Hong Kong usando un accesso a Internet dedicato o una soluzione SDWAN del provider ICP. Altri rami usano anche soluzioni Internet pure o SDWAN.
In questa architettura, ogni sito è connesso alla rete globale Microsoft tramite una VPN e la rete WAN virtuale di Azure. Il traffico tra i siti e Hong Kong viene trasmesso attraverso la rete Microsoft e usa soltanto una normale connessione Internet nell'ultimo miglio.
Opzione 2: ExpressRoute e SDWAN o VPN
Questa sezione illustra un'architettura in cui vengono usati il servizio ExpressRoute a Hong Kong e connessioni VPN/SDWAN per altri rami. L'opzione mostra l'uso della connessione ExpressRoute terminata a Hong Kong e altri rami connessi tramite SDWAN o VPN. A Hong Kong il servizio ExpressRoute è attualmente limitato a pochi provider, che è possibile trovare nell'elenco dei partner ExpressRoute.
Sono disponibili anche opzioni per terminare ExpressRoute dalla Cina, ad esempio, in Corea del Sud o in Giappone. Tuttavia, in considerazione dei requisiti di conformità, delle norme vigenti e della latenza, Hong Kong rappresenta attualmente la scelta migliore.
Opzione 3: solo ExpressRoute
Questa sezione illustra un'architettura in cui viene usato il servizio ExpressRoute per Hong Kong e per altri rami. L'opzione mostra l'interconnessione tramite ExpressRoute a entrambe le estremità. In questo caso, il flusso di traffico è differente. Il traffico di Microsoft 365 viene propagato all'hub protetto della rete WAN virtuale di Azure e da quest'ultima alla rete perimetrale Microsoft e a Internet.
Il traffico diretto verso i rami interconnessi o da questi verso le varie sedi in Cina seguirà un approccio diverso all'interno dell'architettura. Attualmente la rete WAN virtuale non supporta ExpressRoute per il transito ExpressRoute. Il traffico sfrutterà Copertura globale di ExpressRoute o l'interconnessione di terze parti senza passare attraverso l'hub di rete WAN virtuale. Il flusso passerà direttamente da un Microsoft Enterprise Edge (MSEE) a un altro.
Attualmente ExpressRoute Global Reach non è disponibile in ogni paese/area geografica, ma è possibile configurare una soluzione usando Azure rete WAN virtuale.
È possibile, ad esempio, configurare una connessione ExpressRoute con il peering Microsoft e connettere un tunnel VPN tramite tale peering alla rete WAN virtuale di Azure. In questo modo viene di nuovo abilitato il transito tra VPN ed ExpressRoute senza Copertura globale né provider e servizio di terze parti, ad esempio Megaport Cloud.
Passaggi successivi
Per altre informazioni, vedere gli articoli seguenti: